Web3 адвокат: компанії з безпеки шифрування CertiK та Kraken б'ються один з одним, чи можуть білий хакер стати чорним?

Битва в криптографічній галузі дуже захоплива. Ось, безпечна криптовалютна компанія CertiK і американська мега-біржа Kraken, які розбиваються головами, зробили з мене жертву обставин.

Справа приблизно така: CertiK під час свого процесу безпекового тестування виявив серйозну уразливість, пов’язану з можливістю штучного збільшення залишку криптовалютного рахунку на платформі Kraken, і хотів активувати поріг попередження про спрацювання тривоги в Kraken через тестування. Однак Kraken стверджує, що поведінка CertiK виходить за межі звичайних досліджень безпеки і підозрює їх у використанні уразливості для отримання прибутку, тому звинувачує CertiK у шантажі.

За словами CertiK, їх тести показали кілька потенційних вразливостей у системі Kraken, які, якщо не будуть виправлені, можуть призвести до втрати сотень мільйонів доларів. CertiK підкреслює, що їхня дія спрямована на посилення кібербезпеки, захист інтересів усіх користувачів, та розкрила повний графік тестувань та відповідні адреси для зберігання, щоб підтвердити свою прозорість та чесність.

Kraken і його CSO Нік Перкоко наголошують у соціальних мережах та публічних заявах, що їхня програма винагород за помилки має чіткі правила і вимагає від усіх дослідників, які виявляють помилки, дотримуватися цих правил. Kraken також заявляє, що дії CertiK становлять пряму загрозу для безпеки їхньої платформи і вже повідомили про цей інцидент правоохоронні органи.

Цей протистояння не тільки стосується технічних та безпекових питань, воно також торкнулося меж права та моралі, особливо щодо меж та відповідальності у діяльності білих капелюхів. Це надає адвокату Манкуну багату основу для подальшого вивчення правових аспектів діяльності білих капелюхів.

Чи є дії білих капелюхів законними?

у блокчейні білий капелюх через виявлення та виправлення вразливостей допомагає підприємствам та організаціям створювати більш безпечне мережеве середовище, тим самим збільшуючи надійність та довіру мережі, і робить позитивний внесок у загальну безпеку та стабільність у блокчейні.

Чи впливає оплата за виконану роботу на оцінку білих капелюхів? Оплата є ефективним стимулом, який може привернути більше талановитих людей у галузь кібербезпеки та підвищити загальний рівень безпеки у цій галузі. Для підприємств і організацій це також є ефективним способом виправлення вразливостей за вигідними умовами і допомагає підкреслити значення кібербезпеки для підприємств. Таким чином, зарахування розумної плати білим капелюхам є загальноприйнятою практикою в галузі.

Цього разу CertiK є білим капелюхом хакером?

У спорі між CertiK та Kraken одним з центральних питань є проблема межі поведінки CertiK. Поведінка CertiK, особливо мотивація та правовий характер переказу 3 мільйонів доларів на зовнішні гаманці, стала предметом дискусії.

Непрозора поведінка

CertiK – це компанія, що займається безпекою, з якою співпрацює Kraken, і, знаючи, що Kraken має свічка з довгим хвостом Програма винагород на порушення безпеки, цілком можливо переконатися, що вона повністю авторизована перед початком тестування. У той же час, на думку спільноти та Kraken, коли CertiK повідомила про вразливість, вона не згадала конкретну кількість переказів, але розкрила свою «повну тестову адресу» після того, як Kraken видав «повернення 3 мільйонів доларів», щоб довести, що він не перераховував суму, заявлену Kraken.

Переміщення коштів - це факт

За заявою Kraken та розслідуванням у блокчейні від 0xBoboShanti, вже 27 травня команда з безпеки CertiK проводила виявлення та тестування, що суперечить графіку подій CertiK. У той же час під час подальшого тестування вразливості, незважаючи на твердження CertiK, що їхня дія була спрямована на перевірку, чи може система тривоги Kraken вчасно спрацювати, насправді цей тест виявився не лише виявленням вразливостей, а й перенесенням грошових коштів на окрему адресу гаманця. Така поведінка виходить за межі звичайного обсягу тестування безпеки. За даними, раніше CertiK проводив такі ж операції на кількох біржах, а також використовував Tornado Cash для переміщення активів та ChangeNOW для реалізації.

Ймовірно, обидва цих випадки вийшли за межі поведінкових меж білих капелюхів.

Законодавче визначення є ключовим

З юридичної точки зору, дії білих капелюхів зазвичай вважаються законними, але при умові, що ці дії відповідають певним нормам та умовам.

У США головними законами, пов’язаними з діяльністю білих капелюхів, є Закон про шахрайство та зловживання комп’ютером (CFAA). Згідно з CFAA, будь-яка незаконна або недозволена діяльність щодо доступу до захищеного комп’ютера може бути кваліфікована як злочин. Для білих капелюхів їх дії зазвичай повинні здійснюватися в межах чітко отриманої авторизації, інакше навіть за цілями тестування безпеки вони можуть порушувати CFAA. Крім того, з розвитком технологій деякі регіони поступово формують більш конкретні положення, що спрямовані на керування та захист діяльності білих капелюхів.

У Китаї закон про кібербезпеку також чітко визначає загальні вимоги щодо посилення захисту кібербезпеки та удосконалення управління кіберпростором. Це означає, що кібератаки, навіть за метою проведення тестування безпеки, можуть бути визнані незаконними; в той же час закон про безпеку вимагає захисту особистих даних та приватності. Будь-які операції з особистими даними, що включаються в тестування мережі, повинні гарантувати безпеку та захист приватності даних; в разі виявлення вразливостей безпеки відповідна особа має обов’язок негайно повідомляти органи управління кібербезпекою та постраждалих операторів мережі. Ця система звітування спрямована на негайне усунення вразливостей та запобігання їх зловживанню.

Проте у галузі Web3.0 деякі білі капелюхи також можуть здійснювати операції з переказу коштів, але зазвичай це робиться за згодою проекту (наприклад, за наявності відповідних грантів), або кошти перекладаються на окремий незалежний гаманець для зберігання (без подальших дій), після чого повідомляється про вразливість та отримується винагорода від проекту, це також є прийнятою практикою в галузі.

Однак у справі CertiK реальний перехід коштів, особливо післяопераційні дії, спричинили складні правові питання. З одного боку, питання, чи CertiK перевів кошти з особистих мотивів; з іншого боку, CertiK не виконав чітких вимог Kraken щодо білих шапках-хакерів, а замість цього, через переказ коштів знову підтвердив існування одного й того ж уразливості; з іншого боку, його подальші дії з коштами можуть бути розглянуті як незаконна отримання прибутку. Крім того, спосіб, яким CertiK обробляв подальші дії, включаючи комунікацію та координацію з Kraken, також впливає на правову оцінку його дій.

Висновок та відображення

Хоча конфлікт між Kraken і CertiK є виключно американським юридичним питанням, адвокат Манкун не може висловлювати свою думку з питань американського права. Але, якщо це сталося б під китайським правом, дії CertiK, ймовірно, також були б під судовим переслідуванням за звинуваченням у шахрайстві та незаконному вторгненні в комп’ютерну систему.

Це правда, що білі хакери також можуть «стати чорними» в деяких випадках. Навіть якщо початковий намір полягав у підвищенні безпеки системи, якщо вони тестують без належного дозволу або використовують виявлені вразливості для приватної вигоди, ці дії вже відхиляються від правових та етичних стандартів білих хакерів. Як показує інцидент CertiK проти Kraken, несанкціоновані грошові перекази, особливо коли йдеться про великі суми грошей, можна вважати чорною поведінкою навіть для цілей тестування.